Product Documentation

XenMobile Cloud 必备条件和管理

Nov 28, 2016

下图显示了自您向使用贵组织中的设备进行测试的用户请求 XenMobile Cloud 实例的服务过程的步骤。 评估或购买 XenMobile Cloud 时,XenMobile Cloud 运营团队将提供实时入门帮助和沟通,以确保核心 XenMobile Cloud 服务正常运行且配置正确无误。

localized image

Citrix 托管和交付 XenMobile Cloud 解决方案。  但是,需要满足某些通信和端口要求才能将 XenMobile Cloud 基础结构连接到公司服务,例如 Active Directory。 请查看以下部分,为您的 XenMobile Cloud 部署做好准备。 

XenMobile Cloud IPSec 通道网关

可以使用 XenMobile Enterprise Connector,这是一个 IPsec 通道,用于将 XenMobile Cloud 基础结构与公司服务相连接,例如 Active Directory。

以下 Amazon Web Services (AWS) Web 站点中列出的 IPsec 网关已通过官方测试,支持 XenMobile Cloud 解决方案:http://aws.amazon.com/vpc/faqs/。 滚动到“问: 可以使用哪种客户网关设备连接 Amazon VPC?”部分,找到受支持的网关列表。

注意

如果您的 IPSec 网关不在已批准的列表中,该 IPsec 网关也许仍能用于 XenMobile Cloud,但设置所需的时间会延长,并且可能要求您使用官方宣布支持的 IPSec 网关作为后备计划。 

您的 IPSec 网关需要具有直接分配给自身的公用 IP 地址,并且该地址不能使用网络地址转换 (NAT)。

您的 AWS VPN 连接需永久保持活动状态(从客户端启动)。 配置从您的环境到 Amazon VPC 子网的永久 ping 以确保服务连续性。

您的 AWS VPN 连接不支持在 IPsec 网关上配置的多个安全关联。 已将您限制为对每个通道使用一个唯一的安全关联对,即一个入站安全关联和一个出站安全关联。 合并您的规则并进行过滤,以确保这些规则不允许传输不需要的流量。

下图显示了如何在 XenMobile Cloud 解决方案中配置 IPsec 通道,使其通过各种端口连接到您的公司服务。 

localized image

下表显示了 XenMobile Cloud 部署的通信和端口要求,包括 IPSec 通道要求。

目标

协议

端口

说明

外部(边缘)防火墙 – 入站规则

XenMobile Cloud (AWS) IPCSEC VPN 1 的公用 IP 地址

客户 IPSec 设备

UPD

500

IPSec IKE 配置。

XenMobile Cloud (AWS) IPCSEC VPN 1 的公用 IP 地址

客户 IPSec 设备

IP 协议 ID

50

IPSec ESP 协议。

XenMobile Cloud (AWS) IPCSEC VPN 1 的公用 IP 地址

客户 IPSec 设备

ICMP

 

适用于故障排除(可以在设置后删除)。

外部(边缘)防火墙 – 出站规则

客户 DMZ 子网

XenMobile Cloud (AWS) IPSec VPN 1 的公用 IP 地址

UDP

500

IPSec IKE 配置。

客户 DMZ 子网

XenMobile Cloud (AWS) IPSec VPN 1 的公用 IP 地址

IP 协议 ID

50、51

IPSec ESP 协议。

客户 DMZ 子网

XenMobile Cloud (AWS) IPSec VPN 1 的公用 IP 地址

ICMP

 

适用于故障排除(可以在设置后删除)。

内部防火墙 – 入站规则

未使用的可路由 /24 客户子网 2

客户数据中心中的内部 DNS 服务器

TCP、UPP、ICMP

53

DNS 解析。

未使用的可路由 /24 客户子网 2

客户数据中心中的 Active Directory 域控制器

LDAP(TCP)

389、636

3268、3269

适用于用户 Active Directory 身份验证以及对域控制器的目录查询。

未使用的可路由 /24 客户子网 2

客户数据中心中的 Active Directory 域控制器

ICMP

 

适用于故障排除(可以在完成完整设置后删除)。

未使用的可路由 /24 客户子网 2

客户数据中心中的 Exchange Server

SMTP (TCP)

25

可选:适用于 XenMobile 电子邮件通知。

未使用的可路由 /24 客户子网 2

客户数据中心中的 Exchange Server

HTTP、HTTPS (TCP)

80、443

Exchange ActiveSync,需要在 ActiveSync 流量从设备发送到 XenMobile Cloud 基础结构(通过 IPSec 通道),再发送至 Exchange Server 时使用

 

如果用户设备将通过 Internet 与公共 ActiveSync FQDN 通信,而不需要通过 XenMobile IPSec 通道发送到 Exchange Server,则不需要使用。

未使用的可路由 /24 客户子网 2

应用程序服务器,例如 Intranet/Web 服务器、SharePoint 服务器等。

HTTP、HTTPS (TCP)

80、443

通过 XenMobile IPSec 通道从用户的移动设备访问 Intranet 和/或应用程序服务器。 需要将每个应用程序服务器添加到防火墙规则中,同时添加访问应用程序所需的端口号(通常为端口 80 和/或 443)。

未使用的可路由 /24 客户子网 2

PKI 服务器(如果使用本地 PKI)

HTTPS (TCP)

443

可选(不用于 XenMobile POC):

可以利用此端口在 XenMobile Cloud 基础结构与本地 PKI 基础结构(例如 Microsoft CA)之间创建集成,以便在 XenMobile 解决方案内部建立基于证书的身份验证。

未使用的可路由 /24 客户子网 2

RADIUS 服务器

UDP

1812

可选(不用于 XenMobile POC):

可以使用此端口在 XenMobile 解决方案内部建立双重身份验证。

内部防火墙 – 出站规则

内部客户子网,XenMobile 控制台需要通过该子网提供

未使用的可路由 /24 客户子网 2

TCP

4443

XenMobile Cloud 基础结构中的 XenMobile App Controller (MAM) 控制台。

1 如果 XenMobile Cloud 实例和 IPSec 组件在 XenMobile Cloud 基础结构中置备,则由 XenMobile Cloud 团队提供。

2 未使用的 /24 子网,由客户在置备过程中提供,与客户数据中心中的内部子网不冲突,可以路由。

如果您计划部署 XenMobile Mail Manager 或 XenMobile NetScaler Connector 用于本机电子邮件过滤(例如,阻止或允许在用户的移动设备上从本机电子邮件客户端建立电子邮件连接的功能),请查看以下附加要求。 

XenMobile Apple APNS 证书

如果您打算通过 XenMobile Cloud 部署管理 IOS 设备,则需要使用 Apple APNS 证书。 应在部署 XenMobile Cloud 解决方案之前准备该证书。 有关步骤,请参阅 APNs 证书

WorxMail for iOS 推送通知证书

如果要对您的 WorxMail 部署使用推送通知,应为 iOS WorxMail 推送通知准备一个 Apple APNS 证书。 有关详细信息,请参阅 WorxMail for iOS 的推送通知。 

XenMobile MDX Toolkit

MDX Toolkit 是一项应用程序打包技术,用于将应用程序准备好用于 XenMobile 部署。 如果要打包应用程序,例如 Citrix WorxMail、WorxMail、WorxNotes、QuickEdit 等,则需要安装 MDX Toolkit。 有关详细信息,请参阅关于 MDX Toolkit。  

如果要打包 iOS 应用程序,则需要使用 Apple 开发者帐户来创建必要的 Apple 分发配置文件。 有关详细信息,请参阅 MDX Toolkit 系统要求Apple 开发者帐户 Web 站点。 

如果要打包适用于 Windows Phone 8.1 设备的应用程序,请参阅系统要求

面向 Windows Phone 注册的 XenMobile 自动发现功能

如果要在 Windows Phone 注册中使用 XenMobile 自动发现功能,请确保您具有可用的公用 SSL 证书。 有关详细信息,请参阅 XenMobile 自动发现服务

XenMobile 控制台

XenMobile Cloud 解决方案使用与本地 XenMobile 部署相同的 Web 控制台。 这样,云解决方案的日常管理(例如,策略管理、应用程序管理、设备管理等)的执行方式将与本地 XenMobile 部署相似。 有关在 XenMobile 控制台中管理应用程序和设备的信息,请参阅入门工作流程

XenMobile 设备注册

有关适用于不同设备平台的 XenMobile 注册选项的信息,请参阅用户帐户、角色和注册

XenMobile 支持

有关如何在 XenMobile 控制台中访问支持相关信息和工具的详细信息,请参阅监视和支持